ICS35.240

L64

DB36

江西省地方標(biāo)準(zhǔn)

DB36/T1099—2018

電子政務(wù)云平臺(tái)安全規(guī)范

SecurityspecificationsforE-governmentcloudplatform

2018-12-29發(fā)布2019-07-01實(shí)施

江西省市場監(jiān)督管理局發(fā)布

DB36/T1099—2018

電子政務(wù)云平臺(tái)安全規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了電子政務(wù)云平臺(tái)業(yè)務(wù)區(qū)域劃分、安全技術(shù)要求和安全管理要求。

本標(biāo)準(zhǔn)適用于電子政務(wù)云平臺(tái)管理單位和資源使用單位，各設(shè)區(qū)市政務(wù)外網(wǎng)和政務(wù)云建設(shè)運(yùn)維管理

單位參照?qǐng)?zhí)行。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T20271信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

GB/Z20986信息安全技術(shù)信息安全事件分類分級(jí)指南

GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求

GB/T34080.1基于云計(jì)算的電子政務(wù)公共平臺(tái)安全規(guī)范第1部分:總體要求

GA/T1390.2信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

DB36/T979電子政務(wù)外網(wǎng)安全接入平臺(tái)技術(shù)規(guī)范

GW0013政務(wù)云安全要求

GW0202國家電子政務(wù)外網(wǎng)安全接入平臺(tái)技術(shù)規(guī)范

GW0205國家電子政務(wù)外網(wǎng)跨網(wǎng)數(shù)據(jù)安全交換技術(shù)要求與實(shí)施指南

3術(shù)語和定義

GB/T22239、GB/T20271、GB/Z20986、GB/T34080.1、GA/T1390.2、DB36/T979、GW0013、GW

0202、GW0205確定的及下列術(shù)語和定義適應(yīng)于本文件。

3.1

政務(wù)外網(wǎng)

服務(wù)于各級(jí)黨委、人大、政府、政協(xié)、法院和檢察院等政務(wù)部門，滿足其經(jīng)濟(jì)調(diào)節(jié)、市場監(jiān)管、社

會(huì)管理和公共服務(wù)等方面需要的政務(wù)公用網(wǎng)絡(luò)。政務(wù)外網(wǎng)支持跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用、信息共享和

業(yè)務(wù)協(xié)同，以及不需在政務(wù)內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)，與互聯(lián)網(wǎng)邏輯隔離。

3.2

云服務(wù)客戶方

使用電子政務(wù)云平臺(tái)開展電子政務(wù)業(yè)務(wù)和處理、存儲(chǔ)數(shù)據(jù)的組織（或機(jī)構(gòu)）及相關(guān)事業(yè)單位，包括

單位內(nèi)部業(yè)務(wù)使用人員及對(duì)云相關(guān)云資源和安全的管理人員。

3.3

1

DB36/T1099—2018

云服務(wù)提供方

為各級(jí)政務(wù)部門提供計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)及安全等各類電子政務(wù)云平臺(tái)資源和服務(wù)的提供商，負(fù)責(zé)執(zhí)

行云服務(wù)提供方業(yè)務(wù)運(yùn)營和相關(guān)管理工作。

3.4

云管理平臺(tái)

為電子政務(wù)云平臺(tái)提供資源管理和服務(wù)管理，能夠?qū)τ?jì)算/存儲(chǔ)/網(wǎng)絡(luò)等基礎(chǔ)設(shè)施資源（IaaS）、應(yīng)

用/開發(fā)/數(shù)據(jù)平臺(tái)（PaaS）和軟件架構(gòu)整合服務(wù)（SaaS）進(jìn)行管理。

3.5

云計(jì)算基礎(chǔ)設(shè)施

由硬件資源和資源抽象控制組件構(gòu)成的支撐云計(jì)算的基礎(chǔ)設(shè)施。硬件資源包括所有的物理計(jì)算資

源，即服務(wù)器（CPU、內(nèi)存等）、存儲(chǔ)組件（硬盤等）、網(wǎng)絡(luò)組件（路由器、防火墻、交換機(jī)、網(wǎng)絡(luò)鏈

路和接口等）及其他物理計(jì)算基礎(chǔ)元素。資源抽象控制組件對(duì)物理計(jì)算資源進(jìn)行軟件抽象，云服務(wù)提供

方通過這些組件提供和管理對(duì)物理計(jì)算資源的訪問。

3.6

虛擬專有云

提供一個(gè)邏輯隔離的區(qū)域，搭建一個(gè)安全可靠、可自主定義的環(huán)境。在該區(qū)域中部署獨(dú)立的服務(wù)資

源，并根據(jù)業(yè)務(wù)需求定義虛擬環(huán)境，包括定義網(wǎng)絡(luò)拓?fù)?、?chuàng)建子網(wǎng)、虛擬機(jī)存儲(chǔ)資源和劃分安全組等。

3.7

控制器

包括虛擬化監(jiān)視器、SDN控制器、存儲(chǔ)虛擬化控制器和策略管理控制器等進(jìn)行物理資源抽象管理的

資源管理和策略管理系統(tǒng)。

3.8

跨網(wǎng)數(shù)據(jù)交換系統(tǒng)

基于網(wǎng)絡(luò)隔離技術(shù)的無協(xié)議數(shù)據(jù)同步系統(tǒng)，綜合利用設(shè)備認(rèn)證、數(shù)據(jù)格式檢查、病毒檢查等安全措

施，實(shí)現(xiàn)兩個(gè)不同網(wǎng)絡(luò)業(yè)務(wù)區(qū)服務(wù)器之間數(shù)據(jù)同步。

4縮略語

IaaS基礎(chǔ)設(shè)施即服務(wù)（InfrastructureasaService）

PaaS平臺(tái)即服務(wù)（PlatformasaService）

SaaS軟件即服務(wù)（SoftwareasaService）

VM虛擬機(jī)（VirtualMachine）

VPC虛擬專有云(VirtualPrivateCloud)

MPLS多協(xié)議標(biāo)簽交換(Multi-ProtocolLabelSwitching)

VPN虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork）

2

DB36/T1099—2018

SDN軟件定義網(wǎng)絡(luò)（SoftwareDefinedNetwork）

API應(yīng)用程序編程接口（ApplicationProgrammingInterface）

NFV網(wǎng)絡(luò)功能虛擬化（NetworkFunctionVirtualization）

DNS域名系統(tǒng)（DomainNameSystem）

SNMP簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol）

CA證書授權(quán)（CertificateAuthority）

ISP互聯(lián)網(wǎng)服務(wù)提供商（InternetServiceProvide）

RTO恢復(fù)時(shí)間目標(biāo)(RecoveryTimeObjective)

RPO恢復(fù)點(diǎn)目標(biāo)（RecoveryPointObjective）

5業(yè)務(wù)區(qū)域劃分

5.1政務(wù)外網(wǎng)城域網(wǎng)

政務(wù)外網(wǎng)城域網(wǎng)連接同級(jí)各政務(wù)部門，云服務(wù)客戶方可通過城域網(wǎng)訪問電子政務(wù)云平臺(tái)內(nèi)相關(guān)部門

內(nèi)部的信息系統(tǒng)和公共區(qū)信息系統(tǒng)。政務(wù)云業(yè)務(wù)區(qū)域劃分見圖1所示。

互聯(lián)互聯(lián)網(wǎng)政務(wù)外

網(wǎng)區(qū)互聯(lián)網(wǎng)網(wǎng)區(qū)

政務(wù)外網(wǎng)

廣域網(wǎng)

認(rèn)證、授權(quán)、VPN網(wǎng)關(guān)集群

安全網(wǎng)關(guān)管理等SSL/IPSec

防護(hù)安全接入平臺(tái)

防火墻IPS/IDSWAF抗DDOS安全審計(jì)

運(yùn)

城域網(wǎng)核心

維

管

數(shù)據(jù)中心核心交換安全

跨網(wǎng)數(shù)據(jù)隔

防護(hù)防火墻IPS/IDSWAF抗DDOS安全審計(jì)理

離交換系統(tǒng)區(qū)

數(shù)據(jù)中心核心交換

互聯(lián)網(wǎng)業(yè)務(wù)區(qū)

公共業(yè)務(wù)區(qū)部門業(yè)務(wù)區(qū)

互聯(lián)網(wǎng)區(qū)存儲(chǔ)資源池

政務(wù)外網(wǎng)區(qū)存儲(chǔ)資源池

圖1政務(wù)云業(yè)務(wù)區(qū)域劃分圖

5.2安全接入平臺(tái)

3

DB36/T1099—2018

政務(wù)用戶在互聯(lián)網(wǎng)或移動(dòng)專線網(wǎng)絡(luò)訪問省電子政務(wù)云平臺(tái)的部門業(yè)務(wù)和公共區(qū)業(yè)務(wù)必須通過安全

接入平臺(tái)接入，接入平臺(tái)具備數(shù)字認(rèn)證、授權(quán)管理、VPN接入、移動(dòng)設(shè)備管理和移動(dòng)應(yīng)用管理等功能，

為各類智能移動(dòng)終端和遠(yuǎn)程辦公用戶提供可信的安全接入和實(shí)時(shí)的業(yè)務(wù)訪問。

5.3安全防護(hù)

安全防護(hù)區(qū)對(duì)省電子政務(wù)云平臺(tái)承載的門戶網(wǎng)站和信息系統(tǒng)提供安全防護(hù)，其安全防護(hù)要求應(yīng)按網(wǎng)

絡(luò)安全等級(jí)保護(hù)第三級(jí)的國家標(biāo)準(zhǔn)要求進(jìn)行保護(hù)。

5.4政務(wù)云

5.4.1互聯(lián)網(wǎng)業(yè)務(wù)區(qū)

互聯(lián)網(wǎng)業(yè)務(wù)區(qū)主要為公眾和企業(yè)提供互聯(lián)網(wǎng)門戶網(wǎng)站服務(wù)和政務(wù)服務(wù)，由于門戶網(wǎng)站群分屬各不同

的政務(wù)部門，其安全要求各有不同，對(duì)網(wǎng)站和信息系統(tǒng)應(yīng)根據(jù)不同的安全級(jí)別進(jìn)行分等級(jí)防護(hù)。

5.4.2公共業(yè)務(wù)區(qū)

公共業(yè)務(wù)區(qū)主要實(shí)現(xiàn)跨部門、跨地區(qū)的信息共享、數(shù)據(jù)交換及業(yè)務(wù)協(xié)同，提供政務(wù)部門內(nèi)部的公共

服務(wù)。禁止從互聯(lián)網(wǎng)直接訪問本區(qū)域的各信息系統(tǒng)和數(shù)據(jù)，與部門業(yè)務(wù)區(qū)邏輯隔離并應(yīng)做好相應(yīng)的訪問

控制，本區(qū)域部署的應(yīng)用系統(tǒng)應(yīng)結(jié)合自身實(shí)際情況按網(wǎng)絡(luò)安全等級(jí)保護(hù)要求進(jìn)行分級(jí)并實(shí)施保護(hù)。

5.4.3部門業(yè)務(wù)區(qū)

部門業(yè)務(wù)區(qū)主要承載各云服務(wù)客戶方部署或遷移的信息系統(tǒng)，云服務(wù)客戶方可按要求部署在不同的

VPC，VPC之間采用VPN技術(shù)隔離，應(yīng)根據(jù)信息系統(tǒng)的安全等級(jí)進(jìn)行防護(hù)?？砂丛品?wù)客戶方對(duì)信息系統(tǒng)

的安全要求分為二級(jí)信息系統(tǒng)等級(jí)保護(hù)區(qū)域和三級(jí)信息系統(tǒng)等級(jí)保護(hù)區(qū)域，若云服務(wù)客戶方同時(shí)擁有二

級(jí)業(yè)務(wù)和三級(jí)業(yè)務(wù)，應(yīng)確保不同等級(jí)的信息系統(tǒng)采用訪問控制策略。

5.4.4存儲(chǔ)資源池

以存儲(chǔ)塊或分布式存儲(chǔ)方式，將數(shù)據(jù)離散的存儲(chǔ)在資源池中，并按要求可對(duì)相關(guān)重要數(shù)據(jù)進(jìn)行加密

存儲(chǔ)，并將互聯(lián)網(wǎng)區(qū)的業(yè)務(wù)和政務(wù)業(yè)務(wù)在計(jì)算資源及網(wǎng)絡(luò)資源物理分開，如存儲(chǔ)資源池共用，則需保證

數(shù)據(jù)安全可控，對(duì)存儲(chǔ)資源池進(jìn)行統(tǒng)一管理和調(diào)度。

5.4.5云資源管理區(qū)

提供云資源管理和物理資源抽象，以及日常運(yùn)維所必須的運(yùn)維系統(tǒng)和認(rèn)證管理系統(tǒng)。通過資源管理

區(qū)實(shí)現(xiàn)對(duì)各類云資源的實(shí)時(shí)監(jiān)控、管理、預(yù)警和應(yīng)急處置，并對(duì)虛擬機(jī)遷移、資源彈性擴(kuò)展、業(yè)務(wù)使用

情況及運(yùn)維操作人員進(jìn)行實(shí)時(shí)監(jiān)控和審計(jì)。

6安全技術(shù)要求

6.1總體要求

6.1.1各類政務(wù)業(yè)務(wù)必須部署在物理設(shè)施獨(dú)立的云計(jì)算平臺(tái)上，不得依托公有云部署；

6.1.2云計(jì)算基礎(chǔ)設(shè)施按網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)（或以上）要求建設(shè)和保護(hù)；

6.1.3所有應(yīng)用系統(tǒng)遷移或部署到電子政務(wù)云上前必須進(jìn)行測試，并向云服務(wù)管理方出具第三方機(jī)構(gòu)

的測試報(bào)告?zhèn)浒福?/p>

4

DB36/T1099—2018

6.1.4所有在電子政務(wù)云平臺(tái)部署的應(yīng)用系統(tǒng)必須在6個(gè)月內(nèi)通過第三方測評(píng)機(jī)構(gòu)組織的網(wǎng)絡(luò)安全等

級(jí)保護(hù)測評(píng)工作，并將測評(píng)報(bào)告復(fù)印件提交政務(wù)云服務(wù)管理方備案。

6.2IaaS安全

6.2.1物理平臺(tái)安全

環(huán)境安全、設(shè)備安全、介質(zhì)安全、冗余備份及隔離等基本安全防護(hù)要求按照GB/T22239和GA/T1390.2

執(zhí)行。

6.2.2邊界安全

6.2.2.1ISP邊界安全，省電子政務(wù)云平臺(tái)與ISP的邊界安全防護(hù)由云服務(wù)提供方負(fù)責(zé)，滿足網(wǎng)絡(luò)安

全等級(jí)保護(hù)第三級(jí)的防護(hù)標(biāo)準(zhǔn)，同時(shí)采取有效措施及基于行為和實(shí)時(shí)的監(jiān)控手段，保證省電子政務(wù)云平

臺(tái)及承載信息系統(tǒng)的網(wǎng)絡(luò)和數(shù)據(jù)安全。

6.2.2.2專線邊界安全，政務(wù)人員通過互聯(lián)網(wǎng)或電信運(yùn)營商的VPDN專線訪問省電子政務(wù)云平臺(tái)相關(guān)業(yè)

務(wù)時(shí)，應(yīng)使用省電子政務(wù)外網(wǎng)安全接入平臺(tái)，安全接入平臺(tái)按GW0202-2014和DB36/T979—2017建

設(shè)，由云服務(wù)提供方負(fù)責(zé)維護(hù)和管理。

6.2.2.3互聯(lián)網(wǎng)邊界安全，在與公眾互聯(lián)網(wǎng)運(yùn)營商互通的接口部署流量清洗設(shè)備，抵御來自互聯(lián)網(wǎng)的

DDoS攻擊、webshell攻擊、木馬病毒等各類惡意攻擊。同時(shí)，外部和內(nèi)部網(wǎng)絡(luò)應(yīng)提供冗余連接和帶寬

預(yù)留，進(jìn)行流量控制和過濾。具有基于惡意行為攻擊實(shí)時(shí)監(jiān)控、未知威脅檢測發(fā)現(xiàn)和安全態(tài)勢感知能力。

對(duì)跨境數(shù)據(jù)傳輸?shù)犬惓Ｇ闆r進(jìn)行攔截、告警并溯源，協(xié)助云服務(wù)客戶方分析原因并處置；對(duì)web應(yīng)用安

全漏洞進(jìn)行檢測發(fā)現(xiàn)和攻擊防御；對(duì)云主機(jī)主動(dòng)散播和被操縱主機(jī)的被動(dòng)有害信息散播行為進(jìn)行防護(hù)、

清除并告警。能實(shí)現(xiàn)對(duì)各類接入設(shè)備、用戶的綜合安全審計(jì)；對(duì)各種邊界設(shè)備進(jìn)行鑒別和驗(yàn)證，使所有

邊界設(shè)備置于統(tǒng)一的管理和配置之下。

6.2.3網(wǎng)絡(luò)設(shè)備防護(hù)

6.2.3.1口令管理

6.2.3.1.1對(duì)登陸網(wǎng)絡(luò)設(shè)備的用戶應(yīng)進(jìn)行身份鑒別，刪除默認(rèn)用戶或修改默認(rèn)用戶的口令，根據(jù)管理

需要開設(shè)用戶，不得使用缺省口令、空口令、弱口令。

6.2.3.1.2主要網(wǎng)絡(luò)設(shè)備對(duì)同一用戶應(yīng)支持多種鑒別技術(shù)進(jìn)行身份鑒別。通過本地控制臺(tái)管理主要網(wǎng)

絡(luò)設(shè)備時(shí)，采用身份鑒別技術(shù)。通過遠(yuǎn)程方式登陸主要網(wǎng)絡(luò)設(shè)備，采用兩種或兩種以上組合的鑒別技術(shù)

進(jìn)行身份鑒別。

6.2.3.1.3身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令具有復(fù)雜度要求并定期更換?？诹顟?yīng)是數(shù)字、

大寫字母、小寫字母、特殊字符中任意三種的組合。管理員用戶口令長度至少為8位，至少每季度更換

1次，舊的口令1年內(nèi)不得重新使用。

6.2.3.2登陸管理

6.2.3.2.1限制網(wǎng)絡(luò)設(shè)備的管理員登陸地址。

6.2.3.2.2所有需遠(yuǎn)程管理和監(jiān)控的網(wǎng)絡(luò)設(shè)備應(yīng)開啟SNMPV3協(xié)議，對(duì)暫不支持SNMPV3協(xié)議的網(wǎng)絡(luò)

設(shè)備可先開通其V2或V1協(xié)議，并將其部署在非核心位置，以便在設(shè)備更新時(shí)優(yōu)先替換。

6.2.3.2.3需遠(yuǎn)程管理和監(jiān)控的網(wǎng)絡(luò)設(shè)備應(yīng)開通SNMPTrap，Trap報(bào)警信息應(yīng)就近上報(bào)給本安全域管

理系統(tǒng)。

6.2.3.2.4具有登陸失敗處理功能，可采取結(jié)束會(huì)話、限制非法登陸次數(shù)和當(dāng)網(wǎng)絡(luò)登陸連續(xù)超時(shí)自動(dòng)

登出等措施，能夠?qū)Φ顷懯∈录龀鼋y(tǒng)一審計(jì)。

5

DB36/T1099—2018

6.2.3.2.5實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。

6.2.4虛擬網(wǎng)絡(luò)安全

6.2.4.1利用虛擬防火墻功能，實(shí)現(xiàn)虛擬環(huán)境下的邏輯分區(qū)邊界防護(hù)和分段的集中管理和配置。

6.2.4.2虛擬網(wǎng)絡(luò)安全策略能靈活支持虛擬機(jī)的加入、遷移或離開。

6.2.4.3虛擬交換機(jī)應(yīng)啟用虛擬端口的限速功能，通過定義平均帶寬、峰值帶寬和流量突發(fā)大小，實(shí)

現(xiàn)端口級(jí)別的流量控制，同時(shí)禁止虛擬機(jī)端口使用混雜模式進(jìn)行網(wǎng)絡(luò)通訊嗅探。

6.2.4.4對(duì)虛擬網(wǎng)絡(luò)的重要日志進(jìn)行監(jiān)視和審計(jì)，及時(shí)發(fā)現(xiàn)異常登錄和操作。

6.2.4.5在創(chuàng)建虛擬機(jī)的同時(shí)，根據(jù)具體的網(wǎng)絡(luò)拓?fù)?，在虛擬網(wǎng)卡和虛擬交換機(jī)上配置防火墻。

6.2.5虛擬機(jī)安全

6.2.5.1基本要求

6.2.5.1.1虛擬機(jī)采用通過國家安全測評(píng)認(rèn)證的操作系統(tǒng)。

6.2.5.1.2實(shí)現(xiàn)虛擬主機(jī)的訪問控制和身份鑒別，以及特權(quán)用戶的權(quán)限分離；身份鑒別信息具有不易

被冒用的特點(diǎn)，口令具有一定復(fù)雜度（長度至少8位，是數(shù)字、大寫字母、小寫字母、特殊字符中任意

三種的組合），并定期（更換周期小于60d）更換。

6.2.5.1.3對(duì)虛擬主機(jī)的管理員登陸地址進(jìn)行限制；具有登陸失敗處理功能，可采取結(jié)束會(huì)話、限制

登錄失敗次數(shù)和當(dāng)網(wǎng)絡(luò)登陸連接超時(shí)自動(dòng)退出等措施。

6.2.5.2管理要求

6.2.5.2.1當(dāng)虛擬主機(jī)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。

6.2.5.2.2虛擬主機(jī)的安全日志應(yīng)在本地或外部設(shè)備上進(jìn)行記錄、輸出、存儲(chǔ)，并及時(shí)、定期審計(jì)。

6.2.5.2.3根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶對(duì)設(shè)備的權(quán)限分離，僅授予管理用戶所需的最

小權(quán)限。

6.2.5.2.4能對(duì)休眠虛擬機(jī)的系統(tǒng)安全狀態(tài)進(jìn)行監(jiān)控。

6.2.5.2.5虛擬主機(jī)防護(hù)支持與云管理平臺(tái)集成，確保虛擬主機(jī)防護(hù)自動(dòng)化部署。

6.2.6存儲(chǔ)安全

6.2.6.1基本要求

6.2.6.1.1存儲(chǔ)設(shè)備根據(jù)承載業(yè)務(wù)數(shù)據(jù)的安全需求，制定合理的存儲(chǔ)策略，不同安全級(jí)別的數(shù)據(jù)存在不

同的存儲(chǔ)空間中。

6.2.6.1.2存儲(chǔ)設(shè)備應(yīng)提供完整數(shù)據(jù)訪問權(quán)限控制、實(shí)時(shí)安全監(jiān)控、故障自動(dòng)切換和熱升級(jí)等功能。

6.2.6.1.3承載數(shù)據(jù)的加密存儲(chǔ)對(duì)云服務(wù)客戶方和數(shù)據(jù)庫是完全透明的，可以根據(jù)需要進(jìn)行明文和密

文的轉(zhuǎn)換工作。

6.2.6.1.4能提供有效的虛擬機(jī)鏡像文件加載保護(hù)機(jī)制，保證即使虛擬機(jī)鏡像被竊取，非法用戶也無

法直接在其他計(jì)算資源進(jìn)行掛卷運(yùn)行。提供有效的硬盤保護(hù)機(jī)制，保證即使硬盤被竊取，

非法用戶也無法從硬盤中獲取有效的用戶數(shù)據(jù)。

6.2.6.1.5能針對(duì)政務(wù)云平臺(tái)內(nèi)不同云服務(wù)客戶方的存儲(chǔ)數(shù)據(jù)進(jìn)行有效隔離，防止政務(wù)云不同云服務(wù)

客戶方間非授權(quán)訪問敏感數(shù)據(jù)。

6.2.6.2管理要求

6.2.6.2.1對(duì)用戶鑒別信息、審計(jì)日志等關(guān)鍵信息予以完整性和保密性保護(hù)。

6

DB36/T1099—2018

6.2.6.2.2云服務(wù)提供方與云服務(wù)客戶方一起提出可行的信息系統(tǒng)和數(shù)據(jù)遷移方案，明確數(shù)據(jù)鏡像（或

副本）及數(shù)據(jù)備份的要求，滿足云服務(wù)客戶方對(duì)數(shù)據(jù)安全的要求。

6.2.6.2.3如果云服務(wù)客戶方的服務(wù)終止，云服務(wù)提供方應(yīng)通知云服務(wù)客戶方，并給云服務(wù)客戶方

提供至少一個(gè)月的時(shí)間進(jìn)行數(shù)據(jù)的遷移或下載，并保證刪除后的數(shù)據(jù)不可恢復(fù)。

6.2.6.2.4按云服務(wù)客戶方的要求，對(duì)重要信息系統(tǒng)和數(shù)據(jù)在政務(wù)云上應(yīng)采用加密的方式存儲(chǔ)和備份，

存儲(chǔ)在云服務(wù)客戶方端或存放在其他備份云平臺(tái)上的數(shù)據(jù)，應(yīng)采用多因素認(rèn)證配合才允許進(jìn)行修改或刪

除，同時(shí)政務(wù)云服務(wù)提供方至少每年對(duì)重要信息系統(tǒng)的數(shù)據(jù)配合云服務(wù)客戶方進(jìn)行數(shù)據(jù)恢復(fù)的測試。

6.2.6.2.4由云服務(wù)客戶方?jīng)Q定自身業(yè)務(wù)數(shù)據(jù)是否加密。應(yīng)對(duì)物理主機(jī)或用戶、密鑰生成簽名進(jìn)行身

份認(rèn)證。應(yīng)采用訪問控制機(jī)制，云服務(wù)客戶方所持有資源的任何訪問需要檢測資源的請(qǐng)求者是否具備訪

問的權(quán)限，防止多云服務(wù)客戶方間的非授權(quán)訪問。

6.2.6.2.5采取相應(yīng)技術(shù)措施對(duì)存儲(chǔ)資源池或分布式存儲(chǔ)集群的訪問進(jìn)行實(shí)時(shí)的控制，對(duì)異常情況實(shí)

時(shí)告警，并及時(shí)通知云服務(wù)提供商、運(yùn)維人員和云服務(wù)客戶方管理人員。

6.2.7抽象控制安全

6.2.7.1控制器安全主要包括身份認(rèn)證、授權(quán)管理和操作審計(jì)，具有行為的鑒別、訪問控制及異常行

為的實(shí)時(shí)預(yù)警功能，并通過安全審計(jì)進(jìn)行分析、溯源、定位及安全預(yù)警。

6.2.7.2針對(duì)云服務(wù)提供方管理員和云服務(wù)客戶方管理員，分別設(shè)置不同的職責(zé)和權(quán)限，對(duì)管理員的

身份進(jìn)行多因素認(rèn)證，所有操作進(jìn)行審計(jì)。

6.2.7.3云服務(wù)提供方提供的控制器（如虛擬化和SDN）應(yīng)開放標(biāo)準(zhǔn)的API接口供云服務(wù)客戶方自行

選擇通用的安全解決方案。

6.2.7.4控制器（如SDN控制器）應(yīng)具備冗余能力，保證政務(wù)云中的管理系統(tǒng)提供持續(xù)使用的能力。

6.2.7.5云服務(wù)客戶方的管理員對(duì)資源調(diào)度使用應(yīng)具備與云服務(wù)提供方管理員聯(lián)合審批及安全接入的

功能，如專用終端、堡壘機(jī)、專用賬戶、強(qiáng)密碼和多因素身份驗(yàn)證。

6.3PaaS安全

6.3.1PaaS安全要求

PaaS安全應(yīng)滿足7.2的要求。

6.3.2接口安全

6.3.2.1采用密碼技術(shù)，保障資源訪問的API接口安全。

6.3.2.2對(duì)開放的API接口的調(diào)用行為及數(shù)據(jù)異常情況的監(jiān)控和告警，發(fā)現(xiàn)問題及時(shí)通知云服務(wù)客戶

方，并協(xié)助云服務(wù)客戶方及時(shí)處置。

6.3.2.3對(duì)政務(wù)云中間件，應(yīng)用開發(fā)的API接口接入進(jìn)行安全測控和異常分析，以及對(duì)開發(fā)環(huán)境的安

全檢測。

6.3.2.4對(duì)中間件、數(shù)據(jù)庫及應(yīng)用開發(fā)的API接口標(biāo)準(zhǔn)化，并通過政務(wù)云服務(wù)管理方正式發(fā)布。

6.3.3開發(fā)環(huán)境安全

6.3.3.1對(duì)開發(fā)環(huán)境提供給云服務(wù)客戶方的數(shù)據(jù)庫、中間件等服務(wù)進(jìn)行定期的漏洞監(jiān)測，及時(shí)執(zhí)行補(bǔ)

丁更新。

6.3.3.2對(duì)云服務(wù)客戶方的應(yīng)用系統(tǒng)軟件及使用情況進(jìn)行監(jiān)測，對(duì)應(yīng)用系統(tǒng)代碼漏洞或異常需及時(shí)通

知云服務(wù)客戶方，并督促其及時(shí)整改。

7

DB36/T1099—2018

6.3.3.3對(duì)開發(fā)環(huán)境中數(shù)據(jù)庫/中間件服務(wù)的使用，端口的開放及使用過程進(jìn)行實(shí)時(shí)監(jiān)測和控制，保證

政務(wù)云的安全。

6.3.3.4對(duì)云服務(wù)客戶方上傳的文件、鏡像和開發(fā)工具進(jìn)行安全檢測，防止其VPC內(nèi)部的擴(kuò)散，影響

云環(huán)境安全運(yùn)行。

6.3.4中間件安全

6.3.4.1安裝其適用的所有安全補(bǔ)丁。

6.3.4.2啟用訪問控制功能，依據(jù)安全策略控制云服務(wù)客戶方對(duì)中間件服務(wù)的訪問。

6.3.4.3對(duì)應(yīng)用部署的中間件服務(wù)狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，并對(duì)云服務(wù)客戶方訪問中間件服務(wù)的過程進(jìn)行

實(shí)時(shí)監(jiān)控。

6.3.4.4對(duì)云服務(wù)客戶方登錄訪問中間件服務(wù)的所有訪問和操作行為進(jìn)行審計(jì)，以便事后追查。

6.3.5數(shù)據(jù)庫安全

6.3.5.1及時(shí)驗(yàn)證并更新安全補(bǔ)丁。

6.3.5.2通過保障帳號(hào)和密碼安全、服務(wù)配置安全、審計(jì)安全，管理擴(kuò)展存儲(chǔ)過程、傳輸保護(hù)配置、

服務(wù)端口和網(wǎng)絡(luò)連接安全配置、數(shù)據(jù)庫應(yīng)用系統(tǒng)的安全設(shè)置提高數(shù)據(jù)庫的安全性。

6.3.5.3提供應(yīng)用部署的數(shù)據(jù)庫服務(wù)狀態(tài)實(shí)時(shí)監(jiān)控；通過建設(shè)數(shù)據(jù)庫審計(jì)系統(tǒng)對(duì)數(shù)據(jù)庫訪問和操作行

為進(jìn)行審計(jì)，以便事后追查。

6.3.5.4提供應(yīng)用部署的中間件服務(wù)狀態(tài)實(shí)時(shí)監(jiān)控，并對(duì)云服務(wù)客戶方訪問中間件服務(wù)的過程進(jìn)行實(shí)

時(shí)監(jiān)控。

6.3.5.5啟用訪問控制功能，依據(jù)安全策略控制云服務(wù)客戶方對(duì)數(shù)據(jù)庫服務(wù)的訪問；通過設(shè)置系統(tǒng)、

網(wǎng)絡(luò)、安全管理員和安全審計(jì)員等管理人員及職責(zé)，按照最小權(quán)限的安全策略明確各自的職責(zé)。

6.4SaaS安全

6.4.1SaaS安全要求

SaaS安全應(yīng)滿足7.3的要求。

6.4.2應(yīng)用安全

應(yīng)用安全防護(hù)要求按GB/T22239、GA/T1390.2和GB/T34080.1執(zhí)行。

6.4.3應(yīng)用開發(fā)安全

應(yīng)用開發(fā)安全防護(hù)要求按照GB/T20271和GB/T34080.1執(zhí)行。

6.5數(shù)據(jù)保護(hù)要求

6.5.1應(yīng)用遷移安全

6.5.1.1云服務(wù)客戶方對(duì)擬遷移至電子政務(wù)云平臺(tái)應(yīng)用系統(tǒng)的敏感度和業(yè)務(wù)重要性進(jìn)行分析和評(píng)估，

按照應(yīng)用系統(tǒng)敏感度和業(yè)務(wù)重要性要求云服務(wù)提供方提供相應(yīng)的安全防護(hù)能力，禁止將涉密數(shù)據(jù)遷移至

電子政務(wù)云平臺(tái)。

6.5.1.2云服務(wù)提供方配合云服務(wù)客戶方對(duì)電子政務(wù)云平臺(tái)進(jìn)行全面風(fēng)險(xiǎn)評(píng)估，確保電子政務(wù)云平臺(tái)

的安全防護(hù)能力不低于擬遷移信息系統(tǒng)的安全保護(hù)等級(jí)。

8

DB36/T1099—2018

6.5.1.3采用專線或加密隧道技術(shù)承載云服務(wù)客戶方業(yè)務(wù)數(shù)據(jù)的遷移，數(shù)據(jù)遷移時(shí)對(duì)云服務(wù)客戶方的

身份進(jìn)行認(rèn)證識(shí)別，采用訪問控制措施保證遷移路徑的安全可靠并對(duì)遷移來的數(shù)據(jù)執(zhí)行惡意代碼檢測和

清除。

6.5.1.4采用密碼技術(shù)保證云服務(wù)客戶方終端與云環(huán)境通信過程中的完整性；云服務(wù)客戶方應(yīng)優(yōu)先將

備份系統(tǒng)中的數(shù)據(jù)遷移至電子政務(wù)云平臺(tái)。

6.5.1.5云服務(wù)提供方應(yīng)提供應(yīng)用測試環(huán)境，在云服務(wù)客戶方遷移完成后對(duì)部署在電子政務(wù)云平臺(tái)上

的業(yè)務(wù)進(jìn)行全面的可用性測試。

6.5.2身份認(rèn)證與授權(quán)

6.5.2.1對(duì)登錄訪問應(yīng)用服務(wù)（技術(shù)服務(wù)、業(yè)務(wù)服務(wù)、數(shù)據(jù)服務(wù)）的云服務(wù)客戶方進(jìn)行身份識(shí)別和鑒

別。

6.5.2.2啟用身份鑒別、云服務(wù)客戶方身份標(biāo)識(shí)唯一性檢查、云服務(wù)客戶方身份鑒別信息復(fù)雜度檢查

以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。

6.5.2.3啟用訪問控制功能，依據(jù)安全策略控制云服務(wù)客戶方對(duì)應(yīng)用服務(wù)（技術(shù)服務(wù)、業(yè)務(wù)服務(wù)、數(shù)

據(jù)服務(wù)）、文件（配置文件、日志文件、鏡像文件）等客體的訪問；

6.5.2.4基于單位、角色控制的資源訪問權(quán)限，并支持細(xì)度的權(quán)限控制（修改、只讀、無權(quán)限），授

予云服務(wù)客戶方所需的最小權(quán)限；授予不同角色為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形

成相互制約的關(guān)系；

6.5.2.5對(duì)重要信息資源設(shè)置敏感標(biāo)簽，并依據(jù)安全策略嚴(yán)格控制云服務(wù)客戶方對(duì)有敏感標(biāo)記重要信

息資源的操作，并做好相關(guān)審計(jì)記錄。

6.5.3賬戶保護(hù)

6.5.3.1基本要求

6.5.3.1.1定期針對(duì)數(shù)據(jù)保護(hù)、重要信息資源訪問進(jìn)行測試，并驗(yàn)證政務(wù)云具備相關(guān)的取證和分析能

力，包括實(shí)時(shí)事件的記錄，磁盤鏡像，內(nèi)存快照和自身的元數(shù)據(jù)（包括存儲(chǔ)位置、歷史數(shù)據(jù)、文件記錄

等）。

6.5.3.1.2平臺(tái)禁止明文存儲(chǔ)口令數(shù)據(jù)。

6.5.3.1.3提供登錄失敗處理功能，采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。

6.5.3.2權(quán)限管理

6.5.3.2.1云服務(wù)客戶方的賬戶和密碼禁止泄露給第三方，至少3個(gè)月更改一次密碼，使用復(fù)雜密碼

且密碼位數(shù)不少于8位。

6.5.3.2.2云服務(wù)客戶方禁止給云服務(wù)提供方提供自己的賬號(hào)權(quán)限（或開放接入能力）及密鑰口令，

讓云服務(wù)提供方能夠接入云服務(wù)客戶方自己的重要信息系統(tǒng)中，例如云服務(wù)客戶方的高等級(jí)業(yè)務(wù)。

6.5.3.2.3根據(jù)業(yè)務(wù)特點(diǎn)，云服務(wù)提供方應(yīng)區(qū)分系統(tǒng)管理員、安全管理員及安全審計(jì)員等各管理員角

色，不可兼任。

6.5.3.3傳輸管理

6.5.3.3.1云服務(wù)客戶方應(yīng)使用安全受控的終端、雙因子認(rèn)證，受限的訪問權(quán)限和傳輸加密的方式訪

問并管理云上的資源。

9

DB36/T1099—2018

6.5.3.3.2云服務(wù)提供方在對(duì)云進(jìn)行管理或?qū)υ品?wù)客戶方資產(chǎn)進(jìn)行故障診斷或技術(shù)支持及遠(yuǎn)程操

作時(shí)應(yīng)控制管理員的權(quán)限，及系統(tǒng)和數(shù)據(jù)的訪問特權(quán)，防止云服務(wù)提供方權(quán)限的濫用。對(duì)于已經(jīng)批準(zhǔn)的

臨時(shí)特權(quán)，應(yīng)有記錄并在3個(gè)月內(nèi)予以撤銷。

6.5.4數(shù)據(jù)加密

6.5.4.1基本要求

6.5.4.1.1支持基于硬件密碼設(shè)備的數(shù)據(jù)加密機(jī)制，所使用的硬件密碼設(shè)備和密碼算法必須符合國家

標(biāo)準(zhǔn)和國家密碼管理局的相關(guān)要求。

6.5.4.1.2對(duì)應(yīng)用系統(tǒng)中的重要數(shù)據(jù)應(yīng)采取密碼機(jī)制保護(hù)措施，以保證數(shù)據(jù)的保密性和完整性。

6.5.4.1.3提供數(shù)據(jù)庫加解密服務(wù)，并具有電子政務(wù)云平臺(tái)承載海量數(shù)據(jù)處理能力，并可配置數(shù)據(jù)項(xiàng)、

數(shù)據(jù)隔離等數(shù)據(jù)加密要求，支持基于用戶角色的關(guān)鍵業(yè)務(wù)數(shù)據(jù)的加密存儲(chǔ)服務(wù)。

6.5.4.1.4支持行、列級(jí)的細(xì)顆粒度加解密，并對(duì)高碰撞性字段進(jìn)行加解密，支持主流數(shù)據(jù)庫的加解

密。

6.5.4.1.5支持單實(shí)例多用戶的數(shù)據(jù)加密、隔離要求。

6.5.4.1.6保證系統(tǒng)管理數(shù)據(jù)（如索引文件、云服務(wù)客戶方信息及密鑰等）、鑒別信息和重要業(yè)務(wù)數(shù)

據(jù)（如用戶隱私數(shù)據(jù)）存儲(chǔ)和傳輸?shù)耐暾院捅Ｃ苄浴?/p>

6.5.4.2管理要求

6.5.4.2.1云服務(wù)客戶方管理員客戶端到電子政務(wù)云平臺(tái)之間的遠(yuǎn)程數(shù)據(jù)傳輸應(yīng)采取加密機(jī)制保護(hù)和

隔離措施。

6.5.4.2.2云服務(wù)客戶方數(shù)據(jù)加密所使用的密鑰由用戶管理。

6.5.4.2.3在電子政務(wù)云平臺(tái)構(gòu)建硬件密碼資源池，供云服務(wù)客戶方使用。

6.5.4.2.4政務(wù)云平臺(tái)負(fù)責(zé)硬件密碼資源的分配，確保只有云服務(wù)客戶方的VPC才能訪問所分配的密

碼資源。

6.5.4.2.5云服務(wù)客戶方的硬件密碼資源為獨(dú)占方式，禁止不同云服務(wù)客戶方共享硬件密碼資源，政

務(wù)云應(yīng)確保不同云服務(wù)客戶方間的隔離。

6.5.4.2.6云服務(wù)客戶方可以通過遠(yuǎn)程網(wǎng)絡(luò)管理自己的密碼資源和密鑰，在管理時(shí)應(yīng)經(jīng)過基于硬件介

質(zhì)的身份認(rèn)證，所有通訊數(shù)據(jù)應(yīng)被加密。

6.5.4.2.7政務(wù)云應(yīng)提供一種或多種技術(shù)手段，使云服務(wù)客戶方可以使用密鑰基礎(chǔ)設(shè)施對(duì)敏感數(shù)據(jù)進(jìn)

行加密，可選的方式包括卷加密、數(shù)據(jù)庫加密、應(yīng)用系統(tǒng)調(diào)用API加密等。

6.5.4.2.8在云服務(wù)客戶方訪問敏感數(shù)據(jù)服務(wù)時(shí)，應(yīng)調(diào)用加密算法模塊，對(duì)整個(gè)報(bào)文或會(huì)話過程進(jìn)行

加密，保證通信保密性。

6.5.5密鑰管理

6.5.5.1基本要求

6.5.5.1.1密鑰的生成、存儲(chǔ)、使用和管理應(yīng)符合國家密碼管理局關(guān)于商用密碼的相關(guān)管理要求和國

家標(biāo)準(zhǔn)。

6.5.5.1.2政務(wù)云可以自建統(tǒng)一的密鑰管理系統(tǒng)，也可以選擇支持第三方密鑰管理系統(tǒng)（如電子政務(wù)

外網(wǎng)CA），或支持用戶自行管理密鑰，所使用的密鑰管理系統(tǒng)應(yīng)當(dāng)符合國家密碼管理局的相關(guān)要求。

6.5.5.1.3密鑰在停止使用后，必須及時(shí)銷毀且不可恢復(fù)。

6.5.5.1.4加密密鑰應(yīng)在專門的密鑰生成系統(tǒng)或密鑰基礎(chǔ)設(shè)施中生成，密鑰數(shù)據(jù)必須密文存儲(chǔ)且與業(yè)

務(wù)數(shù)據(jù)存儲(chǔ)分離，關(guān)鍵密鑰如主密鑰、簽名密鑰等需存放在安全介質(zhì)中或密鑰基礎(chǔ)設(shè)施中。且關(guān)鍵密鑰

10

DB36/T1099—2018

在云平臺(tái)上使用時(shí)，必須存放于密鑰基礎(chǔ)設(shè)施中。非關(guān)鍵密鑰信息如會(huì)話密鑰等應(yīng)以密文形式保存在密

碼資源外部，但不能在任何情況下以明文形式出現(xiàn)在密碼資源外部。

6.5.5.2管理要求

6.5.5.2.1政務(wù)云平臺(tái)應(yīng)對(duì)云服務(wù)客戶方提供密碼設(shè)備服務(wù)，平臺(tái)負(fù)責(zé)密鑰基礎(chǔ)設(shè)施的資源分配和網(wǎng)

絡(luò)連通，云服務(wù)客戶方負(fù)責(zé)對(duì)密鑰基礎(chǔ)設(shè)施進(jìn)行配置，政務(wù)云平臺(tái)所提供的密鑰基礎(chǔ)設(shè)施服務(wù)應(yīng)當(dāng)設(shè)置

嚴(yán)格的鑒別機(jī)制，保證只有云服務(wù)客戶方才能對(duì)密鑰基礎(chǔ)設(shè)施進(jìn)行配置，且只有云服務(wù)客戶方的應(yīng)用才

能使用云服務(wù)客戶方的密鑰基礎(chǔ)設(shè)施。

6.5.5.2.2政務(wù)云平臺(tái)應(yīng)確保云服務(wù)客戶方密鑰在使用中處于獨(dú)立的安全環(huán)境或云服務(wù)客戶方專用密

鑰基礎(chǔ)設(shè)施中。

6.5.5.2.3政務(wù)云平臺(tái)應(yīng)提供安全的證書更新機(jī)制，確保云服務(wù)客戶方加密資源釋放時(shí)，云服務(wù)客戶

方證書被撤銷。

6.5.5.2.4政務(wù)云自建的統(tǒng)一密鑰管理系統(tǒng)，必須確保不同云服務(wù)客戶方間的密鑰隔離，政務(wù)云平臺(tái)

所使用的密鑰和云服務(wù)客戶方密鑰禁止在同一系統(tǒng)中進(jìn)行管理，政務(wù)云平臺(tái)的服務(wù)管理人員和密鑰管理

人員不得兼任。

6.5.5.2.5未經(jīng)云服務(wù)客戶方明確授權(quán)，政務(wù)云平臺(tái)禁止查詢、修改、刪除云服務(wù)客戶方密鑰及相關(guān)

信息。

6.5.6剩余信息清除

6.5.6.1用戶存儲(chǔ)空間清除,應(yīng)保證虛擬機(jī)用戶的磁盤存儲(chǔ)空間被釋放或再分配給其他用戶前得到完

全清除，不能通過軟件工具恢復(fù)。

6.5.6.2管理文件空間清除,應(yīng)確保虛擬機(jī)監(jiān)視器（Hypervisor）和云管理平臺(tái)內(nèi)的文件、目錄、數(shù)據(jù)

庫記錄和其他資源等所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除。

6.5.6.3鑒別信息清除,應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全

清除。

6.5.6.4快照信息清除,在遷移或刪除虛擬機(jī)后應(yīng)確保鏡像文件、快照文件等數(shù)據(jù)的清除以及備份數(shù)據(jù)

清除。

6.5.6.5虛擬機(jī)內(nèi)存清除,應(yīng)保證虛擬機(jī)的內(nèi)存被釋放或再分配給其他虛擬機(jī)前得到完全清除。

6.5.6.6設(shè)備置零,集中存儲(chǔ)過重要信息的存儲(chǔ)部件在報(bào)廢、維修、重新利用前，應(yīng)采取技術(shù)手段進(jìn)行

硬件置零處理。

6.5.6.7云服務(wù)客戶方不再使用電子政務(wù)云平臺(tái)資源后，云服務(wù)提供方應(yīng)清除相關(guān)數(shù)據(jù)且不可恢復(fù)。

6.5.7備份與災(zāi)難恢復(fù)

6.5.7.1提供數(shù)據(jù)本地備份與恢復(fù)功能，按照備份策略定期備份，備份介質(zhì)場外存放；提供異地實(shí)時(shí)

備份功能，利用通信網(wǎng)絡(luò)將數(shù)據(jù)實(shí)時(shí)備份至災(zāi)備中心。

6.5.7.2建設(shè)同城災(zāi)備中心，距離主數(shù)據(jù)中心距離在50公里以內(nèi)。電子政務(wù)云平臺(tái)應(yīng)具備基本等同的

業(yè)務(wù)處理能力并通過高速鏈路（雙運(yùn)營商的雙鏈路，單鏈路的帶寬不低于500Mb/s）；實(shí)時(shí)同步數(shù)據(jù)，

可同時(shí)分擔(dān)業(yè)務(wù)及管理系統(tǒng)的而運(yùn)行，并可切換運(yùn)行，災(zāi)難環(huán)境下支持災(zāi)難應(yīng)急切換。

6.5.7.3建立異地災(zāi)備中心，距離電子政務(wù)云平臺(tái)200公里以外。配備災(zāi)難恢復(fù)所需的通信線路（雙

運(yùn)營商的雙鏈路，單鏈路的帶寬不低于500Mb/s）、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)處理設(shè)備，只做數(shù)據(jù)級(jí)備份。

6.5.7.4滿足數(shù)據(jù)恢復(fù)和重建目標(biāo)的需求。通過確定備份時(shí)間、技術(shù)、介質(zhì)和場外存放方式，以保證

達(dá)到RPO和RTO的要求，具體標(biāo)準(zhǔn)通過云服務(wù)提供方，云服務(wù)客戶方和云服務(wù)管理方三方確定。

11

DB36/T1099—2018

6.5.8數(shù)據(jù)完整性校驗(yàn)

6.5.8.1提供虛擬機(jī)鏡像文件完整性校驗(yàn)功能，對(duì)虛擬機(jī)鏡像被篡改能及時(shí)發(fā)現(xiàn)并告警。

6.5.8.2對(duì)虛擬機(jī)配置文件、虛擬機(jī)模板、云服務(wù)客戶方賬戶數(shù)據(jù)、管理員及權(quán)限等管理數(shù)據(jù)采取數(shù)

據(jù)保護(hù)措施，經(jīng)完整性校驗(yàn)后方能部署使用。

6.5.9通信安全

6.5.9.1采用由密碼技術(shù)支持的完整性校驗(yàn)機(jī)制或具有相應(yīng)安全強(qiáng)度的其他安全機(jī)制，以實(shí)現(xiàn)通信網(wǎng)

絡(luò)數(shù)據(jù)傳輸完整性保護(hù)。

6.5.9.2采用由密碼技術(shù)支持的保密性保護(hù)機(jī)制或具有相應(yīng)安全強(qiáng)度的其他安全機(jī)制，以實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)

據(jù)傳輸保密性保護(hù)。

6.5.9.3通過對(duì)連接到通信網(wǎng)絡(luò)的設(shè)備進(jìn)行認(rèn)證，確保接入通信網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非

法接入。

6.5.10安全審計(jì)

6.5.10.1所有的審計(jì)手段應(yīng)具備統(tǒng)一的時(shí)間戳，保持審計(jì)的時(shí)間標(biāo)記一致。

6.5.10.2確保日志存儲(chǔ)中有足夠的存儲(chǔ)空間可保存半年以上，且必須定期歸檔并予以標(biāo)記。

6.5.10.3對(duì)于異常的審計(jì)結(jié)果定期提供報(bào)告，并驗(yàn)證異常事件。

6.5.10.4確保日志包括日期，時(shí)間戳，源地址，目的地址，各種可分析的元素，同時(shí)對(duì)于收集的日志

的格式，具備統(tǒng)一規(guī)范化的手段。

6.5.10.5從云服務(wù)客戶方行為審計(jì)、資源變更審計(jì)和管理操作審計(jì)等三方面，保證政務(wù)云處于可控狀

態(tài)。

6.5.11數(shù)據(jù)同步

6.5.11.1互聯(lián)網(wǎng)區(qū)VPC內(nèi)信息系統(tǒng)和數(shù)據(jù)與政務(wù)外網(wǎng)區(qū)VPC內(nèi)信息系統(tǒng)和數(shù)據(jù)實(shí)施數(shù)據(jù)同步應(yīng)通過跨

網(wǎng)數(shù)據(jù)交換系統(tǒng)實(shí)現(xiàn)，跨網(wǎng)數(shù)據(jù)交換系統(tǒng)應(yīng)按照GW0205要求建設(shè)。

6.5.11.2采取嚴(yán)格的安全隔離和訪問控制策略。

6.5.11.3跨網(wǎng)數(shù)據(jù)交換系統(tǒng)中的數(shù)據(jù)格式、內(nèi)容及流量等做到實(shí)時(shí)監(jiān)測和實(shí)時(shí)控制；其訪問控制策略

的制定、實(shí)施和管理由云服務(wù)客戶方與云服務(wù)提供方管理員共同負(fù)責(zé)。

6.5.11.4跨網(wǎng)數(shù)據(jù)交換系統(tǒng)應(yīng)滿足政務(wù)云環(huán)境下的各類彈性要求。如前后端部門/業(yè)務(wù)非對(duì)稱性的接

入，要求安全接入系統(tǒng)可以提供靈活的部署方式，提供彈性的資源調(diào)度模式，提供基于部門/業(yè)務(wù)的強(qiáng)

安全隔離的安全數(shù)據(jù)交換方式。

6.5.12數(shù)據(jù)共享與交換

部門間VPC之間和公共區(qū)VPC之間的數(shù)據(jù)共享與交換，應(yīng)制定不同信息系統(tǒng)及數(shù)據(jù)庫相關(guān)字段級(jí)的共

享與交換規(guī)則，按政務(wù)信息資源目錄的要求，實(shí)現(xiàn)不同虛擬專有云（VPC）之間的應(yīng)用系統(tǒng)、數(shù)據(jù)庫、

視頻等需要通過細(xì)粒度的路由策略進(jìn)行訪問范圍限制，同時(shí)在路由可達(dá)的基礎(chǔ)之上，利用防火墻或虛擬

防火墻對(duì)跨VPC的訪問流量進(jìn)行訪問控制，達(dá)到跨部門的數(shù)據(jù)共享與交換。

7政務(wù)云管理要求

7.1云服務(wù)客戶方

12

DB36/T1099—2018

7.1.1向電子政務(wù)云進(jìn)行信息系統(tǒng)遷移時(shí)或部署信息系統(tǒng)時(shí)，應(yīng)制定相關(guān)的技術(shù)方案，明確安全責(zé)任

邊界及基于風(fēng)險(xiǎn)分析基礎(chǔ)之上的安全計(jì)劃和控制策略，從網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)安全及備份恢復(fù)等方

面提出具體要求，滿足信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求。

7.1.2完成風(fēng)險(xiǎn)評(píng)估和損失評(píng)估后，安全策略應(yīng)明確數(shù)據(jù)安全的要求，如數(shù)據(jù)副本的數(shù)量、存儲(chǔ)的物

理位置，根據(jù)數(shù)據(jù)的重要程度明確數(shù)據(jù)備份的RPO和RTO，明確數(shù)據(jù)是否需要加密存儲(chǔ)。

7.1.3應(yīng)用遷移時(shí)，應(yīng)對(duì)擬遷移至電子政務(wù)云平臺(tái)的應(yīng)用系統(tǒng)的敏感度和業(yè)務(wù)重要性進(jìn)行分析和評(píng)估，

按照應(yīng)用系統(tǒng)敏感度和業(yè)務(wù)重要性要求云服務(wù)提供方提供相應(yīng)的安全防護(hù)能力，禁止涉密數(shù)據(jù)遷移至電

子政務(wù)云平臺(tái)。

7.1.4承擔(dān)應(yīng)用系統(tǒng)部署及管理，以及自身業(yè)